Hai certificazione ISO 9001 (Sistema Qualità) o stai per ottenerla? L'auditor ti chiederà: "chi ha modificato questa fattura del 12 marzo?" Se la tua risposta è "boh, non lo so", la certificazione non passa. Le ISO richiedono audit log delle azioni sui dati gestionali. Vediamo cosa loggare e come strutturarlo nel software trasporti.
Cos'è un audit log
Un audit log (o "log di tracciabilità") è un registro cronologico immodificabile delle azioni svolte dagli utenti sul sistema. Per ogni azione critica:
- Chi ha eseguito (utente, ruolo).
- Cosa è stato fatto (azione: creazione, modifica, eliminazione, esportazione).
- Quando (data, ora, secondi).
- Dove (IP, dispositivo, browser).
- Su quale entità (es. ordine #1234, cliente Bianchi, fattura #2026-001).
- Valore prima e dopo (per modifiche).
Il log non è modificabile dagli utenti: una volta scritto, resta.
Cosa richiedono le ISO
ISO 9001 (Sistema Qualità)
Capitolo 7.5 — Informazioni documentate:
- Requisito 7.5.3.2: l'organizzazione deve assicurare che le modifiche siano tracciate.
- Capacità di dimostrare il controllo dei documenti.
- Tracciabilità di chi ha emesso, modificato, distribuito.
ISO 14001 (Ambiente)
Tracciabilità documenti relativi a impatto ambientale, anche per autotrasporto (consumi, emissioni, smaltimenti).
ISO 27001 (Sicurezza informatica)
Più stringente: log obbligatori di accessi, modifiche, esportazioni, eliminazioni. Per aziende che la implementano.
ISO 39001 (Sicurezza stradale)
Specifica per autotrasporto: tracciabilità delle decisioni operative (assegnazione mezzo, rispetto tempi guida).
Cosa loggare nel software trasporti
Operazioni sui dati
| Azione | Esempio | Criticità |
|---|---|---|
| Creazione ordine | Ordine #1234 creato da Mario | Media |
| Modifica ordine | Ordine #1234 cambiato slot da 10:00 a 14:00 | Alta |
| Eliminazione ordine | Ordine #1234 eliminato | Critica |
| Modifica anagrafica cliente | P.IVA cliente Rossi modificata | Alta |
| Emissione fattura | Fattura #2026-001 emessa | Alta |
| Modifica fattura | Fattura #2026-001 nota credito | Critica |
| Modifica tariffario | Tariffa cliente A aumentata 5% | Alta |
| Eliminazione cliente | Cliente Bianchi eliminato | Critica |
Operazioni di sistema
| Azione | Esempio |
|---|---|
| Login | Mario loggato da IP 1.2.3.4 alle 8:15 |
| Login fallito | 3 tentativi falliti per utente Mario |
| Logout | Mario disconnesso alle 18:30 |
| Reset password | Mario ha resettato la sua password |
| Modifica permessi | Admin ha cambiato i permessi di Anna |
| Disabilitazione utente | Utente Luca disabilitato (motivo: dimissioni) |
Esportazioni dati
| Azione | Esempio |
|---|---|
| Export Excel clienti | Anna ha esportato anagrafica clienti |
| Export PDF fatture | Mario ha esportato fatture marzo |
| Export massivo dati | Admin ha esportato dump completo |
| Stampa report | Anna ha stampato report mensile |
Cosa NON loggare
Bilanciamento tra completezza e privacy/performance:
- Visualizzazioni (read) di routine: solo per dati molto sensibili.
- Click su pulsanti generici.
- Navigazione interna.
- Auto-salvataggio (drafts).
Filtra il "rumore" per non rendere il log inutilizzabile.
Strutturazione del log
Schema raccomandato:
ID | Timestamp | UserID | UserRole | IP | Action | EntityType | EntityID | OldValue | NewValue | Note
123 | 2026-03-15 14:23:45 | mario.rossi | operatore | 192.168.1.10 | UPDATE | order | 1234 | {"slot":"10:00"} | {"slot":"14:00"} | Slot modificato per richiesta cliente
Conservazione del log
Periodo di conservazione tipico:
- Log azioni utente: 2-5 anni.
- Log accessi: 6-24 mesi (vincoli GDPR per IP).
- Log fatturazione: 10 anni (allineato a obblighi fiscali).
- Log eliminazioni critiche: indefinito (mai cancellare).
Conservazione cifrata, backup separati, accesso ristretto.
Performance del sistema
Loggare ogni azione genera molti record. Per non rallentare il sistema:
- Log scritti in tabella dedicata, indicizzata per timestamp e utente.
- Archiviazione log "vecchi" (oltre 6 mesi) in storage separato.
- Compressione log oltre 1 anno.
- Reportistica con query ottimizzate.
Visualizzazione del log
L'amministratore ha vista cronologica filtrabile per:
- Periodo (oggi, ultima settimana, custom).
- Utente specifico.
- Tipo di azione.
- Entità coinvolta.
- Criticità (solo critiche).
Drill-down per ogni evento per dettaglio completo.
Casi d'uso
Audit ISO 9001
Auditor: "Mostratemi tutte le modifiche alla fattura #2026-001 dell'ultimo trimestre."
Risposta in 30 secondi con report PDF.
Sospetto frode
Anomalia: cliente non pagato per 50.000 € sparito improvvisamente. Audit log mostra che è stato eliminato dall'operatore Mario il 14 marzo alle 22:30 (fuori orario lavoro). Investigazione interna avviata.
Ricostruzione contestazione cliente
Cliente "Bianchi" contesta una fattura. Audit log mostra: emessa il 5 marzo, ricevuta firmata digitalmente dal cliente l'8 marzo, contestazione del cliente il 25 marzo. Difesa solida.
Conformità GDPR
Cliente chiede "diritto di accesso GDPR": tutti i miei dati. Audit log mostra a chi sono stati comunicati, quando, perché.
Errori comuni nei log
- Loggare anche le password: mai. Le password vanno hashate, mai loggate in chiaro.
- Log troppo verbosi: rendono inutilizzabile la consultazione.
- Log non protetti: gli stessi utenti operativi possono leggerli/modificarli.
- Log non backuppati: persi in caso di disastro.
- Log senza orario certificato: timestamp del server può essere manipolato.
I moduli Logistia per audit log
- Ruoli e Permessi con audit log integrato.
- Log strutturati per ISO 9001 / 14001 / 27001.
- Conservazione configurabile.
- Esportazione PDF per audit.
Scopri Logistia e prepara la tua azienda per la certificazione ISO.
